2013.06.19

내부 직원의 정보 유출, 왜 막을 수 없나?

Taylor Armerding | CSO
처음부터 악의를 가지고 있거나, 또는 단순히 부주의하거나 잘 모르는 내부 직원들이 조직에서 공적으로나 사적으로 보안상의 위협을 야기할 수 있으며 심지어 해커들에게도 위협이 될 수 있다고 보안 전문가들이 경고하고 있다.

그리고 지난주 이에 대해 경종을 울리는 사건이 발생했다. 에드워드 스노우덴은 미국 국가안보국(NSA)의 기밀문서에 해당하는 한 감찰 결과를 유출했다. 미국 시민에 대한 전화 녹취와 온라인 검열 내용도 포함된 이 보고서는 가디언과 워싱턴 포스트에 공개되었다.



스노우덴은 NSA의 내부 직원은 아니다. 전 CIA 관계자인 그는 NSA의 인프라 분석 기관인 부즈 앨런 해밍턴(Booz Allen Hamilton)과 일했다. 그는 자신이 유출했다는 사실을 시인한 이후 조직에서 해고되었다. NSA의 내부 직원은 아니었지만 내부 직원과 마찬가지로 정보에 대한 접근권이 있었으며 그렇기 때문에 정보를 유출할 수 있었다.

이러한 사례를 볼 때, 조직이 악성해커들의 외부 공격을 차단하는 것보다 내부 직원들의 보안유지에 더 많은 노력해야 한다는 필요성이 제기될 수 있다. 하지만 그렇기 때문에 내부 직원들의 보안유지를 위해 더 많은 노력을 기울이는 것이 가치가 있는 것인지에 대한 의문도 제기될 수 있다. 왜냐하면 보안의식 고취나 기술 그 자체가 내부 직원의 보안유출을 완전히 막을 수는 없기 때문이다.

스노우덴은 가디언과의 비디오 인터뷰에서 자신이 가지고 있는 정보 접근권에 대해 “업무를 진행하면서 개인 이메일 주소만 확보되면 누구나 감청할 수 있는 권한이 있었고 특정인이나 그의 회계사로부터 연방대법원 판사나 심지어 대통령까지도 감청할 수 있었다”고 밝혔다.

그는 홍콩에서 본국으로 송환돼 검찰에 기소되었지만, 비밀유출로 인해 발생하는 모든 피해는 거스를 수 없게 될 것이다.


내부자 위협의 심각성이 어느 수준인지에 대해서는 아직까지 보편적인 합의는 나오지 않은 상태다. 이번 스노우덴의 사건은 세계 각국의 언론에서 면밀히 취재했다. 버라이즌의 2013년 데이터 유출 조사 보고서(Verizon’s 2013 Data Breach Investigations Report)에서는 데이터 유출 가운데 14%만이 내부자에 의해 발생하는 것으로 확인되었다. “여전히 외부자가 데이터 유출을 주도하고 있음을 보여준다”라고 보고서 저자들은 말했다.

하지만 다른 전문가들에 따르면, 이 수치는 여전히 확인된 건수에 국한된다는 것이다. 시지털(Cigital)의 CTO인 개리 맥그로우는 대부분의 데이터 유출이 보고되지 않는다고 지적했다.

“당연히 내부자의 데이터 유출은 통계로 나타나는 수치보다 훨씬 더 빈번히 발생한다”라고 맥그로우는 밝혔다.

전직 법무부 관계자로 기업비밀유출에 깊이 관여했으며 현재 리스크 관리회사인 크롤 어드바이저리 솔루션즈(Kroll Advisory Solutions)에서 사이버수사를 전담하는 마이크 두보스는 내셔널 저널(National Journal)의 브라이언 풍에게 “외부 해킹에 대한 우려와 논의가 이뤄지는 가운데, 대부분의 심각한 기업비밀유출이나 여타 기밀정보들이 유출이 내부자에 의해 이뤄지고 있다”라고 설명했다.

맥그로우는 정보취득을 위한 해커들의 목적은 내부자가 되는 것이고 따라서 이미 내부자인 사람들은 보안문제에서 상당한 전권을 이미 가지고 있다고 말했다.


2013.06.19

내부 직원의 정보 유출, 왜 막을 수 없나?

Taylor Armerding | CSO
처음부터 악의를 가지고 있거나, 또는 단순히 부주의하거나 잘 모르는 내부 직원들이 조직에서 공적으로나 사적으로 보안상의 위협을 야기할 수 있으며 심지어 해커들에게도 위협이 될 수 있다고 보안 전문가들이 경고하고 있다.

그리고 지난주 이에 대해 경종을 울리는 사건이 발생했다. 에드워드 스노우덴은 미국 국가안보국(NSA)의 기밀문서에 해당하는 한 감찰 결과를 유출했다. 미국 시민에 대한 전화 녹취와 온라인 검열 내용도 포함된 이 보고서는 가디언과 워싱턴 포스트에 공개되었다.



스노우덴은 NSA의 내부 직원은 아니다. 전 CIA 관계자인 그는 NSA의 인프라 분석 기관인 부즈 앨런 해밍턴(Booz Allen Hamilton)과 일했다. 그는 자신이 유출했다는 사실을 시인한 이후 조직에서 해고되었다. NSA의 내부 직원은 아니었지만 내부 직원과 마찬가지로 정보에 대한 접근권이 있었으며 그렇기 때문에 정보를 유출할 수 있었다.

이러한 사례를 볼 때, 조직이 악성해커들의 외부 공격을 차단하는 것보다 내부 직원들의 보안유지에 더 많은 노력해야 한다는 필요성이 제기될 수 있다. 하지만 그렇기 때문에 내부 직원들의 보안유지를 위해 더 많은 노력을 기울이는 것이 가치가 있는 것인지에 대한 의문도 제기될 수 있다. 왜냐하면 보안의식 고취나 기술 그 자체가 내부 직원의 보안유출을 완전히 막을 수는 없기 때문이다.

스노우덴은 가디언과의 비디오 인터뷰에서 자신이 가지고 있는 정보 접근권에 대해 “업무를 진행하면서 개인 이메일 주소만 확보되면 누구나 감청할 수 있는 권한이 있었고 특정인이나 그의 회계사로부터 연방대법원 판사나 심지어 대통령까지도 감청할 수 있었다”고 밝혔다.

그는 홍콩에서 본국으로 송환돼 검찰에 기소되었지만, 비밀유출로 인해 발생하는 모든 피해는 거스를 수 없게 될 것이다.


내부자 위협의 심각성이 어느 수준인지에 대해서는 아직까지 보편적인 합의는 나오지 않은 상태다. 이번 스노우덴의 사건은 세계 각국의 언론에서 면밀히 취재했다. 버라이즌의 2013년 데이터 유출 조사 보고서(Verizon’s 2013 Data Breach Investigations Report)에서는 데이터 유출 가운데 14%만이 내부자에 의해 발생하는 것으로 확인되었다. “여전히 외부자가 데이터 유출을 주도하고 있음을 보여준다”라고 보고서 저자들은 말했다.

하지만 다른 전문가들에 따르면, 이 수치는 여전히 확인된 건수에 국한된다는 것이다. 시지털(Cigital)의 CTO인 개리 맥그로우는 대부분의 데이터 유출이 보고되지 않는다고 지적했다.

“당연히 내부자의 데이터 유출은 통계로 나타나는 수치보다 훨씬 더 빈번히 발생한다”라고 맥그로우는 밝혔다.

전직 법무부 관계자로 기업비밀유출에 깊이 관여했으며 현재 리스크 관리회사인 크롤 어드바이저리 솔루션즈(Kroll Advisory Solutions)에서 사이버수사를 전담하는 마이크 두보스는 내셔널 저널(National Journal)의 브라이언 풍에게 “외부 해킹에 대한 우려와 논의가 이뤄지는 가운데, 대부분의 심각한 기업비밀유출이나 여타 기밀정보들이 유출이 내부자에 의해 이뤄지고 있다”라고 설명했다.

맥그로우는 정보취득을 위한 해커들의 목적은 내부자가 되는 것이고 따라서 이미 내부자인 사람들은 보안문제에서 상당한 전권을 이미 가지고 있다고 말했다.


X